送消息认证码n3,s,.,nlΦn2 Θ* n3 Φ ? Jccepi/
[0132] 来响应MDpcis对自己的认证质询。
[0133] a.若MDpcis利用当前使用密钥值的下一个对称密钥SK^D-sj + i计算出来的 VM 丨,"1 ? /?2 十"3 ? ? /krey,/ / /ic/Vt·/)与接收值 /?"胁'(5'人x/i 丨,/?1 ?' /?2 ?' ?3 ?' /D'":. ?' 伙/?,/ 尺^ 案会继续进行。
[0134] b .若MDpos利用当前密钥值的下一个对称密钥值SIT MD-Sj + 1计算出来的
不等于接收值
,则MDPQS对MD认证失败,然后会忽略该 消息。
[0135] ②MD还会向MDpcis发送支付结果Accept/Recject。
[0136] a.若MD成功支付,然后方案继续进行;反之,则忽略此消息。
[0137] 4e)MDp〇s^MD:
[0138] Accept/Recject,n4,sl,s2,
[0140] {Title,Location,Seat,Time,Mark} SKMD-si+i
[0141] h{IDticket,ID company ,ICsn,R}
[0142] ① MDpcis向MD发送消息认证码n4,細《((你:"&+1,,!1 ? ?2 ? ?3 Φ M ? 来通知该方案的完成,此时MD会利用当前密钥Sf m-Sj+1来进行消息完整和真实性验证。
[0143] a.若在MD中利用当前密钥SK、D-Sj+1计算出来的 舰.,:Μ ? w3 ? ? ? Zcee/ji/ 与接收值 ,/7丨十"2 十/?3 十"4? /D;〃,十.4<:.?糾/ Λ?/?·ν_7.)相等,则方案继续进行。
[0144] b ·若无法使得在a情况下计算得出的级sw,说細2 ?沾? ?4 Φ取," ? ▲卿"及和 等于接收值/?川议'(5心,/.>&|,/?1?/?2?/73?/?4?/0,, /)?.4?印"处^^^^^ 整性验证失败,然后会忽略该消息。
[0145] ②MDpcis通知MD-定时间内购票和退票次数si和s2,在当si和s2达到一定阈值,那 么该注册用户会被列入黑名单。
[0146] ③MDPQS向MD发送票券信息,票券信息将被保存在MD的NFC安全单元中。
[0147] a ·票券内容部分信息{Title,Location,Seat, Time,Mark}SKMD-si+i,MD 可利用该对 称密钥SKm-Sj+1查看用户票券信息。
[0148] b.票券敏感信息h{IDticket,IDCOTpany,ICsn,R}存储在安全单元中,以备验证使用。
[0149] 步骤4.离线电子票券验证
[0150]完成了支付过程,记下来就是最后一个阶段电子票券验证阶段,在这个阶段移动 验证设备将会去验证已经获取到票券信息的用户移动设备,如果验证成功则可以放行,否 则不予放行。验证流程图如图9所示,其中的符号说明如图7所示。
[0151] 4a)MD-MDv: Request
[0152] ①首先MD会向MDv发送身份认证请求Request,从而开启认证会话。
[0153] 4b)MDv^MD:rl
[0154] ① MDv收到来自MD的请求Request之后,将会向MD发送用于对其进行认证的质询消 息随机数rl。
[0155] 4c)MD^MDv:
[0157] ①收到来MDv的质询消息之后,MD会向MDv发送质询响应信息
[0158] IDMD,r2,:/j則以及用于对MDv认证的质询消息随机数r2, MDv会根据IDmd查找对应密钥组中的对称密钥。
[0159] a .若在MDv对应的密钥组中能够找到密钥SK' MD-Sj,使得利用它计算出来的 towc'(沉s,《1 ? "2 Θ 与接收值.力猶[肌s,《1 ? ?2:?历繼):相等,则MD^ 证成功,然后方案会继续进行。
[0160] b .若在MDv对应的密钥组中无法找到密钥Sf MD-Sj,使得在a情况下计算出的 /"?沉"(srw)-? "2 ? //),,,,)等于人、,,,?丨 Θ W 后会忽略该消息。
[0161 ]②MD会向MDv发送对称加密的序列号信息{IC} SKMD-Sj。
[0162] a.MDv会利用该找到的密钥来解密并查看序列号信息1C,该序列号将会用于验证 票券敏感信息。
[0163] 4d)MDv^MD:
[0164] Accept/Rec ject, r3, hmac{SKXID Sj+l, n\ Θ n2 ? ?3 Θ ^mb ? AzzepilRscject) j
[0165] ①在M D v对M D认证成功之后,M D v就会向M D发送消息认证码 /""(々-.(St,,, Viil ,/?丨 ?' ;?2 Φ/?3 Θ3 /D,,;) ? Jccty,,/ 来回应MD对自己的认证质询消息, 此时MD会在自身密钥组里面寻找匹配密钥进行认证操作。
[0166] a .若M D利用当前密钥的下一个对称密钥S K ' μ d - s j + i计算出来的 办(沉】m_s+1,?l ?样?.永Cepi./ifeq/e*/)'与接收值相等,则MD对MDv认证成 功,然后方案会继续进行。
[0167] b.若MD利用当前密钥的下一个对称密钥SI^md-s川,无法使得在a情况下计算得出 的 /""也''(.5尺;",.v/l丨,/?丨 /?2 ?,?3 ? /£),〃> @. /icc(y,/7 等于 ,及1 ?.成.? 十靡.cepi/步cf)fj?MD对MDv认证失败,然后会忽略该 消息。
[0168] ②MDv会向MD发送身份认证结果。
[0169] a.若MDv对MD认证成功,则MDv会向MD发送身份认证结果,然后方案继续进行;反之, 则会忽略此消息。
[0170] 4e)MD^MDv:
[0171] Accept/Recject,r4,
[0172] hmac(SKun v/l! ,//1 Θ /72 ? /?3 Θ n4 Θ 1DUI) ? Accept! Rccject) ·>
[0173] {Title,Location,Seat,Time,Mark} SKMD-si+i,
[0174] h{IDticket, ID company ,ICsn,R};
[0175] ①勵首先会向MDv发送该消息认证码信息/?_c(S^n别,ff2:@ k3 ? a:4 Θ Φ/ 来通知该方案的完成,此时MDv会采用当前对称密钥SK^D-sjn来进行消息完整和真实性验 证。
[0176] a ·若勤利用当前密钥f M^Sj+l 计算出来的 ,》1 ? η.2 .Φ ?3.? .η4 Φ .也呼 f / 与接收值相等,则消息完整和真实性验证成功,然后方案会继续进行。
[0177] b ·若MDv在a情况下计算得出的 /wwc'i&K;出-免丨,h1? "2? ?3 十 114?/!)^ ? .4ccepi/ /iecyVc^) 不等于接收值,则对消息完整和真实性验证失败,然后会忽略该消息。
[0178] ②MD会利用SE向发送票券内容部分信息{Title,Location,Seat,Time,Mark} SKmd-si+i〇
[0179] a.在MDv对消息验证成功之后,MDv会利用当前密钥SKMD-5」+1来解密票券内容,并在 阅读器模式下利用SAM所提供的信息来对票券内容信息进行核对。
[0180] ③同时,MD还会向发送票券敏感信息h{ IDticket, IDcompany ,ICsn,R}〇
[0181] a.若在MDv中利用3c)中所接收到的序列号信息IC计算出来的hMlDticket,IDc? pany, ICsn,R}与接收值h {IDticket,IDc?pany,ICsn,R}相等,则验票成功,说明票券有效。
[0182] b.若在MDv中利用3c)中所接收到的序列号信息1C计算出来的V {IDticket,IDc?pany, ICsn,R}与接收值h {IDtieket,IDe?pany,ICsn,R}不相等。则验票失败,然后会忽略该消息。
[0183] 以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精 神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
【主权项】
1. 一种基于近距离无线通讯技术的双向认证方法,其特征在于利用NFC近距离通信的 可靠性并结合本方案提出的双向认证支付和验证协议来保证用户在整个购票和验票环节 的安全性,所述基于近距离无线通讯技术的双向认证方法包括: 用户利用基于WTLS的无线通信方式在服务提供商的平台上进行注册并且共享密钥; 用户利用基于WTLS的无线通信方式进行电子票券的预定; 用户利用移动设备在移动POS机上通过NFC支付已预定的电子票券的款项并且获取电 子票券安全信息; 用户利用移动设备在验证器上通过NFC进行电子票券安全信息的验证。2. 如权利要求1所述的基于近距离无线通讯技术的双向认证方法,其特征在于,所述基 于近距离无线通讯技术的双向认证方法具体包括: 步骤一,用户注册,用户首先在票券提供商提供的平台上进行注册,保存到数据库当 中,信息包含移动设备NFC安全单元的1C序号以及共享的密钥信息{K〇,DK,m},利用共享的 密钥信息,用户和服务器之间将会创建一组会话密钥SK m-Sj,j = 1,2,3,…,m,在服务器端将 会生成一个(IDmd,SKMD-Sj)键值对表,其中IDmd表不每个移动设备的身份标识; 步骤二,用户票券预定,在注册完成之后,用户在平台上浏览并且预定自己需要的票券 了,预定完成之后,平台后台服务器将会把所示的支付信息发送到用户设备,而用户设备和 平台后台服务器在注册和订票阶段交互是通过无线安全传输层协议来完成的; 步骤三,电子支付票券,票券预定并成功获取票券信息之后,用户利用移动设备在移动 POS上通过NFC通信进行支付操作; 步骤四,离线电子票券验证,完成支付过程,移动验证设备将会去验证已经获取到票券 信息的用户移动设备,如果验证成功则放行,否则不予放行。3. 如权利要求2所述的基于近距离无线通讯技术的双向认证方法,其特征在于,所述支 付过程包括: 第一步,MDpqs-MD: Request 首先MDpcis会向MD发送票券支付认证请求Reque s t,从而开启认证会话; 第